Cyberangreb er den største trussel mod Danmark.
Det var konklusionen, da Forsvarets Efterretningstjeneste (FE) i december 2017 offentliggjorde sin seneste risikovurdering. Og i rapporten 'Cybertruslen mod Danmark' fra 2018 var billedet ligeså dystert.
De sikkerhedsmæssige udfordringer forbundet med digitale teknologier er mangeartede, komplekse og omskiftelige.
Digital informations- og kommunikationsteknologi er overalt. Den overskrider ikke kun nationale grænser og jurisdiktioner, men gennemsyrer nærmest alle dele af vores liv: Kritisk infrastruktur, private virksomheder og selv de mest intime aspekter af vores hverdag er alle påvirket af disse teknologier – blandt andet gennem det hastigt voksende 'Internet of Things'.
Denne udvikling øger drastisk antallet af potentielle mål, som omfatter en bred vifte af aktører: Fra stater til private virksomheder og den enkelte bruger.
Staten kan ikke løfte opgaven alene
Ikke alene er omfanget og karakteren af truslen ofte svær at bedømme, men størstedelen af de digitale teknologier og vores digitale infrastruktur udvikles, ejes og drives af private virksomheder.
Det er derfor almindeligt anerkendt, at staten ikke kan håndtere cybertruslen alene, og at de klassiske statslige styringsredskaber som lovgivning, militær oprustning eller økonomiske incitamenter er utilstrækkelige i relation til cyberstruslen.
På trods af enigheden om, at bekæmpelsen af cyberstruslen er en fælles opgave, som skal varetages af private såvel som offentlige instanser, gør nogle grundlæggende forskelle i trusselsforståelsen opgaven vanskelig.
Det offentlige og private skal dele viden
Den private sektor er i stigende grad blevet en vigtig partner i arbejdet med at håndtere de sikkerhedspolitiske udfordringer i forbindelse med alt fra terrorisme til klimaforandringer.
Vigtigheden af virksomhederne som (med)ansvarlige partnere er særlig tydelig i forhold til cybertruslen. Den nu tidligere amerikanske præsident Barack Obama lagde vægt på, at »dette må være en fælles mission«, ligesom EU gentagne gange har understreget behovet for offentlig-private partnerskaber for at bekæmpe cyberangreb og –kriminalitet.
Videndeling mellem myndigheder og virksomheder fremhæves således som et centralt middel til at håndtere de fælles sikkerhedsudfordringer forbundet med informations- og kommunikationsteknologi.
Rationalet er simpelt: Indsamling af mere viden om cybersikkerhedshændelser fra de forskellige partnere vil give myndighederne et bedre overblik over trusselsbilledet og gøre os i stand til bedre at identificere og håndtere de trusler og risici, som vi står over for.
Videndeling gennem offentlig-private partnerskaber ses altså som et centralt styringsredskab i forhold til den usikkerhed, som er forbundet med cybertruslen.
Udfordringen: Hvad skal vi dele?
Usikkerheden forbundet med cybertruslen medfører dog også uenighed om, hvilken viden der skal deles. Selvom parterne anerkender cybersikkerhed som en fælles opgave, viser vores undersøgelse, at de har forskellige opfattelser af, hvad der rent faktisk skal håndteres og hvordan.
Den private sektor har altså én måde at opfatte truslen på, mens den offentlige (politi, efterretningstjeneste og forsvar) har en anden.
Deres forskellige forståelser af trusler og risici relateret til de digitale informations- og kommunikationsteknologier betyder således også, at de har forskellige bud på, hvilken viden der bør deles for at håndtere dem.
Offentlig 'cyberspionage' vs. private 'cyber-risici'
De offentlige myndigheder definerer i vid udstrækning truslerne med udgangspunkt i fjendtlige aktører og deres motiver.
Center for Cybersikkerheds trusselsvurderinger er således inddelt i kategorier såsom 'cyberspionage', 'cyberkriminalitet', 'cyberaktivisme' og 'cyberterrorisme'. Cybertruslen er fra statens side langt hen ad vejen defineret ved aktøren – om det er fjendtlige stater, statsstøttede grupper eller blot kriminelle, der står bag.
Denne trusselsforståelse er en naturlig konsekvens af vores øvrige sikkerhedspolitiske kategorisering; sikkerhedspolitiske tiltag skal beskytte Danmark og danske interesser mod udefra kommende trusler, og vi skal derfor vide, hvem der truer.
Det primære fokus for Center for Cybersikkerhed er således at beskytte den kritiske infrastruktur mod 'avancerede vedvarende trusler' (såkaldte APT-angreb) og andre sofistikerede, eksterne trusler.
Dette fokus på aktørerne og deres motiver afspejles i den organisatoriske struktur og arbejdsfordeling mellem de relevante myndigheder:
- Center for Cybersikkerhed tager sig af trusler mod nationens sikkerhed, som typisk kommer fra andre stater eller statsstøttede aktører.
- Mindre avancerede angreb og angreb med kriminelle hensigter betragtes som et anliggende for politiet og organisationerne selv.
De private virksomheder opfatter derimod cybertrusler og -risici som en uundgåelig del af det at drive virksomhed.
Virksomhederne anerkender generelt, at det er umuligt helt at undgå uhensigtsmæssige hændelser; de ser det snarere som et spørgsmål om, hvornår frem for om deres netværk bliver kompromitteret. Initiativer på området skal derfor vejes op imod den enkelte virksomheds risikoappetit, og hvor de afsatte ressourcer gør mest gavn.
Fremfor kun at forsøge at forhindre indtrængen på deres netværk lægger virksomhederne vægt på at øge deres robusthed og evne til at komme hurtigt ovenpå igen i tilfælde af en sikkerhedshændelse.
De private skuer indad
Sammenlignet med myndighederne er virksomhedernes tilgang således mere indadskuende. De er mindre optagede af, hvorvidt en hændelse bør kategoriseres som kriminalitet eller en trussel mod national sikkerhed; for dem kan konsekvenserne være lige skadelige.
Virksomheder har med andre ord størst fokus på at beskytte deres sårbarheder og derved sikre sig mod fremtidige angreb på disse.
Uoverensstemmelsen mellem myndighedernes kategorisering af cybertruslen, med udgangspunkt i fjendtlige aktører og deres motiver, og virksomhedernes fokus på sårbarheder og konsekvenser er en væsentlig hindring for videndeling.
Når man ikke arbejder med de samme kategorier, kan det være svært at vide, hvilke myndigheder man skal henvende sig til og dele viden om en given cybersikkerhedshændelse med.
Den sikkerhedspolitiske udfordring: Hvor er den rygende pistol?
En væsentlig forudsætning for myndighedernes ressortopdeling er, at den fjendtlige aktør kan identificeres.
Dette er en notorisk vanskelig opgave, der mangler ofte en 'rygende pistol'. I forskningen peges der således ofte på, hvordan blandt andet den tekniske kompleksitet og de mange muligheder for at sløre oprindelsen af et angreb gør det vanskeligt at spore et angreb tilbage til en bestemt aktør.
Desuden kræver det ofte samarbejde på tværs af jurisdiktioner at skaffe de nødvendige informationer. Selv i de tilfælde, hvor identifikation er mulig, er der som regel tale om en længerevarende og ressourcekrævende proces.
Desuden kan de forskellige typer angreb ofte være svære at adskille i forhold til deres konsekvenser. For eksempel så vi i forbindelse med WannaCry-angrebet i 2017, hvordan et angreb med umiddelbart basale kriminelle hensigter også viste sig potentielt at have konsekvenser for samfundsvigtige funktioner.
Derfor står det altså ikke altid klart i udgangspunktet, hvordan en hændelse bør kategoriseres og dermed håndteres; og det er heller ikke altid i alles interesse at foretage en sådan kategorisering – både på grund af den ressourcekrævende analyse og behovet for at håndtere en given hændelse nu og her.
Virksomheder er mere eller mindre overladt til egen dømmekraft i relation til vurderingen af samfundsmæssige og sikkerhedspolitiske behov for viden og handling. Man risikerer dermed, at vigtig viden ikke bliver delt.
\ Forskerzonen
Denne artikel er en del af Forskerzonen, som er stedet, hvor forskerne selv kommer direkte til orde. Her skriver de om deres forskning og forskningsfelt, bringer relevant viden ind i den offentlige debat og formidler til et bredt publikum.
Forskerzonen er støttet af Lundbeckfonden.
Hvordan kan virksomhederne tage ansvar?
Vi står med andre ord over for en sikkerhedspolitisk virkelighed præget af usikkerhed, som kræver, at virksomhederne tager ansvar; spørgsmålet er, hvordan man styrer sikkerhedspolitikken under disse vilkår uden at tage det 'frie marked' som gidsel?
De forskellige trusselsforståelser er naturligvis en udfordring for offentlig-privat samarbejde om håndtering af cybertruslen. Udfordringen består dog ikke i forskelligheden som sådan, men snarere i den manglende erkendelse af denne forskellighed.
En fuldstændig ensretning af partnernes trusselsopfattelser er hverken realistisk eller ønskværdigt.
En snæver konsensus mellem parterne ville bidrage til at gøre samarbejdet relativt trægt og ufleksibelt i forhold til tilpasning til nye trusler, ligesom et sådant samarbejde kun ville inkludere de udfordringer, man kunne blive enige om.
Desuden ville et fælles fodslag hos myndigheder og virksomheder hurtigt kunne lede til et carte blanche i sikkerhedens navn på grund af det diffuse, omskiftelige og potentielt altomsluttende trusselsbillede.
Brug forskelligeheden konstruktivt!
I stedet bør man acceptere forskelligheden og bruge den konstruktivt til at styrke partnerskabernes funktion og deres demokratiske legitimitet.
I forhold til deres funktion kan forskelligheden bruges som en konstruktiv drivkraft til at fremme samarbejdets robusthed gennem udfordring af dets fokus, nytænkning og tilpasning i forhold til et omskifteligt trusselsbillede, hvor vi ikke nødvendigvis kender omfanget af truslen, eller hvem, der truer.
Den demokratiske legitimitet øges ligeledes gennem et samarbejde, hvor målet ikke er en dominerende konsensus, men snarere repræsentativ inddragelse og kvalificeret modspil og dermed en demokratisk dialog om håndteringen af det omskiftelige trusselsbillede.
Med andre ord kan uenigheden paradoksalt nok være med til at styrke håndteringen af den usikkerhed, som cybertruslen stiller os overfor.
